Plus de la moitié des appareils Android vulnérables à un bug de contrôle à distance via une application contrefaite

Ce mois-ci semble être mauvais pour Google et l’équipe de sécurité Android en particulier, car depuis le début du mois, des vulnérabilités majeures ont été signalées dans le système d’exploitation Android. D’abord, il y a eu la vulnérabilité Stagefright qui pouvait permettre aux hackers de faire planter votre smartphone simplement en envoyant un message multimédia. Ensuite est venue la vulnérabilité Silent Attack qui était l’extension de Stagefright et pouvait permettre aux hackers d’entrer à distance dans le smartphone Android sans le consentement ou la connaissance du propriétaire.

Maintenant, l’équipe de recherche en sécurité des applications X-Force d’IBM a découvert une autre vulnérabilité critique dans les smartphones et tablettes Android. La faille, qui affecte les versions du système d’exploitation Android 4.3 Jelly Bean à Android 5.1 Lollipop et également la dernière version Android M Preview 1, permet aux hackers de contrôler à distance un appareil ciblé.

Comme cette faille affecte tous les appareils fonctionnant à partir de Jelly Bean et au-dessus, presque la moitié des smartphones actifs dans le monde sont touchés par ce bug. La vulnérabilité a été surnommée vulnérabilité de sérialisation Android et a reçu le CVE-2015-3825.

La vulnérabilité de sérialisation Android permet à une application malveillante sans privilèges de prendre le contrôle total d’un appareil par l’exécution de code à distance. Ce qui signifie que les hackers peuvent alors remplacer une application légitime et de confiance par une contrefaçon ‘Super App’ pour tromper l’utilisateur afin qu’il saisisse des informations personnelles.

Or Peles de l’équipe de recherche en sécurité des applications X-Force d’IBM a expliqué dans un article de blog que la faille n’a pas encore été exploitée dans la nature, mais a affirmé que « avec le bon focus et les bons outils, les applications malveillantes ont la capacité de contourner même les utilisateurs les plus soucieux de la sécurité. »

« L’exploit PoC que nous avons créé attaque le processus system_server hautement privilégié. Exploiter system_server permet une élévation de privilèges vers l’utilisateur système avec un profil SELinux plutôt détendu (en raison des nombreuses responsabilités de system_server), ce qui permet à l’attaquant de causer beaucoup de dommages. Par exemple, un attaquant peut prendre le contrôle de n’importe quelle application sur l’appareil de la victime en remplaçant le package d’application Android (APK) de l’application cible. Cela peut alors permettre à l’attaquant d’effectuer des actions au nom de la victime. De plus, nous avons pu exécuter des commandes shell pour exfiltrer des données de toutes les applications installées sur l’appareil en exploitant l’application Android Keychain. Nous avons également pu changer la politique SELinux et, sur certains appareils, charger également des modules de noyau malveillants. »

Une fois que le logiciel malveillant est exécuté, il remplace une vraie application par une fausse, ce qui permet à l’attaquant de soit voler des informations sensibles de l’application, soit de créer une attaque de phishing convaincante.

Peles a affirmé que son équipe avait également trouvé des vulnérabilités dans plusieurs SDK Android tiers, permettant l’exécution de code arbitraire qui pourrait permettre aux attaquants de voler des informations sensibles des applications affectées.

« Les vulnérabilités découvertes sont le résultat de la capacité de l’attaquant à contrôler les valeurs des pointeurs lors de la désérialisation d’objets dans l’espace mémoire d’applications arbitraires, qui est ensuite utilisé par le code natif d’application invoqué par le ramasse-miettes (GC) du runtime, » a-t-il ajouté. Les développeurs tirent parti des classes au sein de la plateforme Android et des SDK. Ces classes fournissent des fonctionnalités pour les applications – par exemple, accéder au réseau ou à la caméra du téléphone. » « La vulnérabilité que nous avons trouvée peut être exploitée par des logiciels malveillants via le canal de communication qui a lieu entre les applications ou les services. Alors que l’information est décomposée et remise ensemble, du code malveillant est inséré dans ce flux, exploite la vulnérabilité à l’autre bout et prend ensuite le contrôle de l’appareil. »

L’équipe de recherche X-Force a informé Google, qui a déjà publié un correctif pour la faille. La recherche X-Force peut être trouvée ici.